מחשבי Windows נותרו פגיעים להתקפות דמויי Stuxnet למרות 2010 תיקון

2024

Смешные Ошибки Windows! (Сезон 1, серия 1) | Windows 8, Windows Vista, Windows 7

אם טבלתם את מחשבי Windows שלכם ב -2010 כנגד השימוש ב- LNK שבו השתמשו ב- Stuxnet וחשבתם שאתם בטוחים, לחוקרים מ- Hewlett-Packard יש חדשות רעות עבורכם: תיקון מיקרוסופט היה פגום.

בחודש ינואר, חוקר מייקל הירקלוץ דיווח באופן פרטי ל- Zero Day Initiative של HP (ZDI) כי תיקון LNK שפורסם על-ידי Microsoft לפני יותר מארבע שנים ניתן לעקוף אותו.

משמעות הדבר היא שבמהלך ארבע השנים האחרונות התוקפים יכלו לבצע תיקון מהונדס של מיקרוסופט כדי ליצור חדש LNK מנצל זה יכול להדביק את המחשבים של Windows כאשר התקני אחסון USB יש מחובר אליהם. עם זאת, עדיין אין מידע המרמז על כך שקרה.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

ההתקפה המקורית, אשר ניצלה פגיעות באופן שבו Windows הציגה סמלים לקובצי קיצור (LNK) , שימש להפיץ את Stuxnet, תולעת מחשב שחיבלה בצנטריפוגות אורניום במתקן הגרעיני של איראן בנתאנז.

סטוקסנט, אשר מאמינים כי נוצרה על ידי ארה"ב וישראל, התגלה ביוני 2010 לאחר שהתפשט מעבר לה מיועד ומכוון להדבקת עשרות אלפי מחשבים ברחבי העולם. הפגיעות של LNK, שעוקבה אחר CVE-2010-2568, היתה אחת מכמה פגמים של אפס יום, או שלא היו ידועים קודם, שניצלה את Stuxnet. מיקרוסופט תוקנה את הליקוי בחודש אוגוסט באותה שנה כחלק מעלון אבטחה בשם MS10-046.

"כדי למנוע התקפה זו, מיקרוסופט הציגה בדיקה לבנה לבירור עם MS10-046, שפורסמה בתחילת אוגוסט 2010", HP כך דיווחו חוקרים בבלוג. "ברגע שהתיקון הוחל, בתיאוריה אושרה רק. קובצי CPL היו אמורים לשמש לטעינת סמלים לא סטנדרטיים עבור קישורים". "הטלאי נכשל", הם אמרו. "במשך יותר מארבע שנים, כל מערכות Windows היו חשופות לאותה התקפה בדיוק אותה סטוקסנט השתמשה בהיערכות ראשונית."

ZDI דיווח על מעקף התיקון LNK שנמצא על ידי Heerklotz ל- Microsoft, אשר התייחס אליו כאל פגיעות חדשה ( CVE-2015-0096) ותיקנה אותו ביום שלישי כחלק מ- MS15-020. חוקרי ZDI מתכננים לבחון את העדכון החדש כדי לראות אם קיימים עקיפות אפשריות אחרות.

עם זאת, החלת הדרך לעקיפת הבעיה שפורסמה על ידי Microsoft בשנת 2010, הכוללת שימוש בעורך הרישום כדי לבטל ידנית את תצוגת הסמלים עבור קובצי קיצור, יגינו מפני הפגם האחרון, הם אמרו. בעוד שהתקיפה של LNK התגלתה לראשונה כחלק מחברת Stuxnet, חוקרי אבטחה ממעבדת קספרסקי גילו לאחרונה שתולעת מחשב אחרת, המכונה פאני, השתמשה בה מאז 2008. פאני היא חלק של ארסנל תוכנה זדונית בשימוש על ידי קבוצת cyberespionage מתוחכם מאוד כי קספרסקי יש משוואת dubbed.

כפי שחשף דו"ח מעבדה קספרסקי באוגוסט 2014, ניצול של הפגיעות המקורית CVE-2010-2568 נשאר נפוץ גם לאחר תיקון מיקרוסופט בשנת 2010 , בעיקר משום שהניצול היה משולב באיומים נפוצים יותר כמו תולעת סאליטי. מיולי 2010 ועד מאי 2014, מעבדה קספרסקי זיהתה יותר מ -50 מיליון מקרים של CVE-2010-2568 לנצל מעל 19 מיליון מחשבים ברחבי העולם.